成分分析的扫描原理是什么,主要识别哪些风险? 对用户提供的软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。
图3 查看组件列表信息 漏洞列表 您可以参考每个组件扫描出的漏洞详细信息修复漏洞。
成分分析的开源漏洞文件路径如何查看? 有多种方式可查看开源漏洞分析结果的文件路径: 方式一:进入报告详情页面,打开开源漏洞分析扫描结果,单击“组件名称”可查看包含组件的文件对象,鼠标放在相应“对象路径”,即可查看该对象路径,也可单击右侧按钮复制。
平均扫描时间预估:根据不同的压缩格式或者文件类型扫描时长会有一定的差异,平均100MB/6min。 服务采用基于软件版本的方式检测漏洞,不支持补丁修复漏洞场景的检测。 父主题: 二进制成分分析类
显示目标任务的组件检测、安全漏洞、安全配置、开源许可证、信息泄露、安全编译选项检测概况,包括: 组件检测:展示被扫描的软件包所有的组件数量,有漏洞、未知版本和无漏洞组件数量占比。 安全漏洞:展示超危、高危、中危、低危各个级别漏洞数量占比。
成分分析的开源漏洞文件路径如何查看? 成分分析的任务扫描失败怎么办? 如何查看用户组是否具有Tenant Administrator或CodeArtsInspector Administrator权限,及如何对用户组进行授权?
提供通用的压缩、固件、包格式文件重新创建扫描任务即可。 文件上传中损坏 文件在传送过程中损坏,导致无法正确解析。重新创建扫描任务进行扫描即可。 其他原因导致任务失败 多次重复创建任务后扫描任务仍然失败,可联系服务运维团队。 父主题: 二进制成分分析类
成分分析的扫描对象是什么? 成分分析的扫描对象为产品编译后的二进制软件包或固件。 成分分析的扫描对象包含Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等。 成分分析扫描不支持扫描源码类文件。 父主题: 二进制成分分析类
单击对应任务的任务名称,也可以单击任务列表操作列的“查看报告”,查看扫描报告。扫描报告主要包括:任务概况、开源软件漏洞、开源许可证、密钥和信息泄露、安全编译选项、安全配置。
任务状态 “等待中” 导入扫描对象后开始等待扫描。 “进行中” 任务正在进行扫描。 “已完成” 任务已完成扫描。 “已停止” 任务扫描中单击了操作栏的“停止”。 “已失败” 任务扫描失败。 安全漏洞 成分分析扫描出的漏洞分布情况。 开始时间 成分分析开始的时间。
升级后,您本次扫描可享受专业版规格,包含如下额外功能:支持查看完整的扫描结果及专业扫描报告导出,单次扫描最大支持5GB文件。如果您扫描次数较为频繁,建议您购买包年专业版服务。 单击“确定”,开始上传和扫描文件。 (可选)如果文件上传失败,显示“续传”按钮。
我的资产 展示最近30天被扫描的软件包个数,以及有风险和未完成的软件包个数。 风险信息 TOP5 展示前五项组件风险信息,可查看组件名称、组件版本、语言类型、版本时间、漏洞数、超高危漏洞数、集成风险和引用数量。
成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中文件包含的开源软件清单,并分析是否存在已知漏洞、许可证合规等风险。用户扫描完成后,建议按照以下步骤进行分析排查: 开源软件分析,分析开源软件是否存在以及软件版本是否准确。
显示目标任务的组件检测、安全漏洞、安全配置、开源许可证、信息泄露、安全编译选项检测概况,包括: 组件检测:展示被扫描的软件包所有的组件数量,有漏洞、未知版本和无漏洞组件数量占比。 安全漏洞:展示超危、高危、中危、低危各个级别漏洞数量占比。
专业分析指导 提供全面、直观的风险汇总信息,并针对不同的扫描告警提供专业的解决方案和修复建议。
扫描包上传大小限制 专业版:5GB。 免费版:300MB。
CVSS(Common Vulnerability Scoring System) 通用漏洞评分系统,是一个行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度,有CVSS 2.0、3.0、3.1标准。
扫描文件大小不能超过300MB。 可体验所有检查项功能。 不支持报告下载。 只展示漏洞数排名前10的开源软件信息。 专业版 支持查看完整的扫描结果及专业扫描报告导出。 单次扫描最大支持5GB文件。
在PaaS、SaaS场景下,华为云也会基于控制原则承担所提供服务或组件的安全配置、漏洞修复、安全防护和入侵检测等职责。 客户:无论在任何云服务类别下,客户数据资产的所有权和控制权都不会转移。
扫描报告 开源治理服务中二进制成分分析对用户制品扫描以后生成的扫描结果,用户需要关注如下几种类型的风险结果: 开源软件漏洞:用户制品文件中包含的开源软件清单以及相关开源软件版本对应的漏洞信息,用户需要分析是否存在风险以及通过打补丁或升级软件方式进行风险处理。
